Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

eIDAS-Verordnung: Streit um europäische Super-Zertifikate

Befürworter europäischer QWACs-Zertifikate sind überzeugt, dass die Technik gegen Phishing helfen kann. Gegner sehen weiterhin eine Infrastruktur zum Abhören.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Digitale Identitäten auf einem Tablet, darüber ein Schloss in dem ein Gesicht steckt (Symbolbild)

(Bild: Jirsak/Shutterstock.com)

Update
Lesezeit: 13 Min.
c't Magazin
Von
  • Monika Ermert
Inhaltsverzeichnis

Die geplante Aktualisierung der EU-Verordnung über elektronische Identifizierungs-, Authentifizierungs- und Vertrauensdienste (electronic IDentification, Authentication and Trust Services, kurz eIDAS) stößt weiter auf Widerstand. Wissenschaftler konzedieren dem Gesetzgeber nach dem Trilog zwar einen "Schritt in die richtige Richtung", warnen aber vor der Abstimmung im Industrieausschuss am kommenden Dienstag weiterhin vor Sicherheitsrisiken.

Das Hauptanliegen der eIDAS-Verordnung ist die sichere digitale Brieftasche (EU Digital Identity Wallet), mit der Bürger künftig online bezahlen, ihren Führerschein präsentieren oder Dokumente rechtssicher unterschreiben können. Harte Kritik kassierte die EU-Kommission allerdings für die Artikel 45 und 45a.

Am 2. November hatten zehn Organisationen, darunter der Hersteller des Firefox-Browsers Mozilla, die Cloud-Anbieter Cloudflare und Fastly und die Linux Foundation in einem offenen Brief Alarm geschlagen. Dem schlossen sich dann Hunderte von Wissenschaftlern an. Die Unterzeichner warnen vor den erst im Oktober nachgelegten Änderungen an den Artikeln 45 und 45a, welche Webbrowser verpflichten, die Qualified Website Authentication Certificates der EU zu akzeptieren (QWACs). Den Experten zufolge könnten diese "die Sicherheit des Internets als Ganzes schwächen".

Webbrowser und andere Clients, die TLS-verschlüsselte Internetverbindungen aufbauen, können anhand von digitalen Zertifikaten die Authentizität von Websites und anderen Objekten im Cyberspace prüfen und anschließend einen verschlüsselnden Tunnel zur Übertragung aufbauen.

Zurzeit verwalten zwei Arten von Institutionen die Ausstellung und den Widerruf von digitalen Zertifikaten: die Root-Store-Programme der Browserhersteller und die Zertifizierungsstellen (CA) des Browser-Forums mit ihren Grundanforderungen. Daneben gibt es die gemeinnützige Einrichtung Certificate Transparency für Websites und Browser, welche falsch ausgestellte Zertifikate identifiziert und blockiert.

Diese Kombination, also die Root-Stores, die Regeln des Browser-Forums und die Certificate Transparency, funktioniert laut den Unterzeichnern des Protestbriefs gut und die Artikel 45 und 45a der eIDAS Verordnung untergraben sie.

Umstrittener Artikel

Zwar änderte die EU den "Erwägungsgrund" des Artikels 45, um Bedenken auszuräumen. Und Experten werten die Änderungen als Schritt in die richtige Richtung. Doch die Verpflichtung, QWACs anzuerkennen, bleibt bestehen. Daher argwöhnen Gegner des Artikels 45 weiterhin, dass die EU schlimmstenfalls eine Hintertür zum Abhören des Webverkehrs einbauen wird.

Ein Teil des Artikels 45 macht die schon vor Jahren eingeführten, aber nicht sehr verbreiteten QWACs verpflichtend: Anbieter von Internetbrowsern sollen QWACs trotz zahlreicher Proteste grundsätzlich akzeptieren. Auch der am 08. November finalisierte Artikel 45 der eIDAS-Verordnung, der c’t vorliegt, bleibt dabei: "Qualifizierte Zertifikate für Website Authentication (…) müssen von Webbrowsern anerkannt werden. Die Webbrowser müssen garantieren, dass die für die Zertifikate hinterlegten Identitätsdaten und zusätzliche Attribute in nutzerfreundlicher Weise präsentiert werden."

Die dem Gesetzestext beigefügte Erklärung konstatiert: "Browser haben die Pflicht, alle ausgegebenen QWACs anzuerkennen". Gemeint sind damit Zertifikate von Anbietern, die die EU Mitgliedsstaaten in das Vertrauensverzeichnis der EU aufnehmen (XML-Datei). Die Bundesnetzagentur führt eine separate Liste qualifizierter Vertrauensdienste in Deutschland.

Davor hatten Wissenschaftler in offenen Briefen gewarnt: Diese Zertifikatsinfrastruktur eigne sich prinzipiell zum Entschlüsseln von Webverkehr. Ein staatlicher oder vom Staat beauftragter Zertifikatsprovider müsse dazu lediglich ein eigenes Zertifikat für eine Domain ausstellen, deren Webverkehr er abfangen will. An dieser Stelle gehen die Meinungen von Gegnern und Befürwortern auseinander. D-Trust, eine Tochter der Bundesdruckerei, versichert, dass kein Vertrauensdiensteanbieter ein Zertifikat für eine fremde Domain ausstellen kann.

Allerdings sind bereits manche Zertifizierungsstellen Opfer von Einbrüchen geworden; Angreifer haben sich dann technisch korrekte Root-Zertifikate zum Abhören ausgestellt. Beispielsweise schreibt man die Überwachung iranischer Dissidenten einem solchen Fall zu. Behörden von Kasachstan und Mauritius scheiterten hingegen mit Zertifikaten, die sie eigens zum Abhören erstellten. Browserhersteller hatten den Abhörzweck erkannt und die Aufnahme der Zertifikate verweigert.

Nun befürchten die Browserhersteller aber, einen Teil der Kontrolle über die Zertifikate zu verlieren, wenn sie QWACs grundsätzlich akzeptieren müssen. Browserhersteller und andere Kritiker sind überzeugt, dass dann autoritäre EU-Mitgliedsstaaten eigene Zertifikate zum Abhören einschleusen können.

Die EU-Kommission versucht, diese Sorge zu zerstreuen. Die EU-eID-Verordnung werde nicht beeinflussen, wie Webbrowser Datenverkehr absichern, antworteten Kommissionsbeamte auf Kritik von Sicherheitsforschern. Das Schreiben liegt c’t vor. Demnach garantieren TLS-Zertifikate die Sicherheit im Web durch Verschlüsselung, während QWACs "zur Authentifizierung der Webseiten und der dahinter stehenden Organisation" dienen. Andreas Wand vom Zertifikatsprovider der Bundesdruckerei D-Trust fügte in einem Gespräch mit c't hinzu, der wesentliche Unterschied sei, dass QWACs zusätzlich die Identität des Domaininhabers verifizieren.

So ganz leuchtet der Bedarf aber nicht ein: Derzeit unterscheidet man bei den Zertifikaten, die übliche Zertifizierungsstellen ausgeben, hauptsächlich drei Varianten: Domain Validated (DV), Organization Validated (OV) und Extended Validation (EV). Bei DV-Zertifikaten wird lediglich automatisch geprüft, ob ein Antragsteller die Domain kontrolliert, für die er ein Zertifikat beantragt. So können beispielsweise Privatleute oder kleine Firmen Zertifikate für ihre Webseiten kostenlos beziehen, allerdings auch Angreifer, die Opfer beispielsweise per Phishing zu präparierten Webservern lenken wollen. So können sie ungeprüft technisch gültige Zertifikate für Domains ausstellen lassen, die ähnlich klingen wie bekannte Marken, etwa posstbank.de anstatt postbank.de. OV-Zertifikaten werden umfassender geprüft, um beispielsweise Markenschutz zu gewährleisten. Das erledigen beliebige Zertifizierungsstellen gegen überschaubare Kosten heute schon. Gleiches gilt für EV-Zertifikate, mit dem Unterschied, dass mehr geprüft wird und daher die Preise höher sind.

Die EU ist überzeugt, dass QWACs eine Stufe über den EV-Zertifikaten stehen. QWACs, so resümiert die Tochter der Bundesdruckerei D-Trust, würden mehr Sicherheit schaffen, etwa weil sie Phishing verhindern können.

Doch damit das klappt, wertet die EU mit ihrer QWACs-Infrastruktur alle übrigen Zertifikatstypen ab, sodass Browser Webseiten, die mit DV-, OV- oder EV-Zertifikaten bestückt sind, ohne Begründung als "nicht vertrauenswürdig" einstufen. Das führt in die Irre, weil sie sie auf dieselbe Stufe stellen wie Webseiten ohne Zertifikate und ohne Verschlüsselung.

[Update]: 27.11.2023, 12:15: Die EU unterhält mit "DSS Demonstration WebApp" unter anderem einen Dienst zur Validierung von Webseiten; dort gibt man in das Eingabefeld URLs von HTTPS-verschlüsselten Webseiten ein. Die Prüfung stuft dann beispielsweise bund.de und viele andere Webseiten als nicht vertrauenswürdig ein (The certificate chain is not trusted, it does not contain a trust anchor). Nicht überraschend, bestehen den Test bisher nur Webseiten mit QWAC-Zertifikaten, also etwa bundesdruckerei.de.

Doch die EU wolle Webseiten identifizierbar machen, beharrt D-Trust. Das sei vergleichbar mit Kraftfahrzeugen, die nur dann am öffentlichen Straßenverkehr teilnehmen dürfen, wenn sie ein amtliches Kennzeichen tragen. Angewandt auf alle möglichen Webseiten sollte die Technik auch Phishing-Versuche über Domains verhindern, die nur so ähnlich klingen wie Lieschen Müllers Website.

Allerdings ist das technisch bereits mit EV-Zertifikaten möglich, aber schlicht praxisfremd, weil zu aufwendig. Und bezogen auf das Beispiel aus dem Straßenverkehr könnte man ergänzen: Die Kennzeichenpflicht gilt ja auch nicht für alle Verkehrsteilnehmer.

Streit um Entscheidungshoheit

Freilich gibt es noch andere Erklärungen, weshalb die EU QWACs forciert: Bis vor vier Jahren haben Browser bei Webseiten mit teuren Extended-Validation-Zertifikaten die Validierung der Zertifikatsinhaber angezeigt. Dann kamen Google und Mozilla zu der Überzeugung, dass diese Informationen Nutzer entweder gar nicht beachten oder nach dem Lesen nicht informiert, sondern verwirrt zurückbleiben. Deshalb blenden sie diese Informationen nicht mehr ein.

Das kam in der EU und vor allem bei den Verkäufern der als höherwertig empfundenen Trusted Service Provider nicht gut an. Ist Artikel 45 also ein Fall von "Das Imperium schlägt zurück"?

Natürlich habe diese Entscheidung Streit heraufbeschworen, entgegnet Andreas Wand von D-Trust. Doch letztlich stehe dahinter die Frage, ob Browserhersteller sich selbst regulieren sollten, etwa im CA Browser Forum, oder ob Regeln zur Zertifikatsausstellung und das Definieren von Sicherheitsstandards in staatliche Hände gehören. Europas digitale Souveränität werde die eIDAS sicherlich auch stärken, schätzt Wand.

Dass eine staatlich geprüfte Zertifizierungsstelle QWACs als Hintertür zur Entschlüsselung nutzt, hält er für sehr unwahrscheinlich, weil dafür auch die Konformitätsstellen und Aufsichtsbehörden des jeweiligen Staates wegsehen müssten. Autoritär geführte Staaten, die sich Behörden gefügig machen, berücksichtigt er jedoch nicht.

Neuer Erwägungsgrund

Einige Nichtregierungsorganisationen, wie die Wiener Grundrechtsplattform Epicenter.works oder die Electronic Frontier Foundation, Finnland, setzen ihre Hoffnung auf den Zusatz, den die Kommission als Reaktion auf den Aufschrei von Wissenschaftlern, NGOs und Browsern kürzlich in den Erwägungsgrund 32 aufgenommen hat. "Die Verpflichtung zur Anerkennung und Interoperabilität und die Unterstützung der QWACs soll die Freiheit der Browserhersteller nicht beeinträchtigen, Websicherheit, Domainauthentifizierung und Verschlüsselung des Webverkehrs auf die Art und Weise und mit der Technologie zu gewährleisten, die sie für am geeignetsten halten."

Bei Mozilla wertet man den Zusatz zurückhaltend. Udbhav Tiwari, Head of Global Product Policy sagt: "Die Formulierung sendet ein starkes Signal zur Bedeutung, die Browser bei der Absicherung des Web haben". Doch Mozilla hofft, dass "das Europäische Parlament bei den noch anstehenden Schritten bis zur endgültigen Implementierung der Verordnung die massiven Einsprüche von Sicherheitsexperten gegen den Text des Artikel 45 berücksichtigen wird". Der Industrieausschuss des Europaparlaments und das Plenum müssen Ende November beziehungsweise Anfang kommenden Jahres über ihre Zustimmung zum aktuellen Trilogtext entscheiden.

Nur im Notfall austragen

Doch weil der Text des verbindlichen Artikels 45a unverändert ist, bleibt Tiwari besorgt. Denn darin steht weiterhin: "Webbrowser sollen keine Maßnahmen treffen, die ihren Verpflichtungen aus Artikel 45 zuwiderlaufen, insbesondere die Anforderung, QWACs anzuerkennen und die darin enthaltenen Identitätsdaten in nutzerfreundlicher Weise darzustellen." Ausnahmen sind zwar für Notfälle vorgesehen. Aber ob eine als vertrauenswürdig eingestufte Zertifizierungsstelle missbräuchlich agiert oder nicht ausreichend sicher ist, entscheiden demnach die nationalen Aufsichtsbehörden allein.

Diese Formulierungen widersprechen dem unverbindlichen Erwägungsgrund und könnten deshalb europäische Nutzer verunsichern. Die Schaffung einer obersten Instanz für Sicherheitsmaßnahmen hält Mozilla für hochproblematisch, genauso wie den Zwang, staatlich geprüfte Zertifikate akzeptieren zu müssen. Besser sei der aktuelle Status mit verbindlichen Minimalstandards, über den die Browserhersteller nach eigenem Ermessen hinausgehen können.

Natürlich seien schon heute viele Trusted Provider, die auf der EU-Liste stehen, in den Root Stores der Browser aufgeführt, versichert Tiwari, auch D-Trust. Aber es gibt auch solche, die man nach öffentlicher Diskussion wegen Sicherheitsmängeln entfernt habe, etwa den französischen Anbieter Certinomis. Und die CA der slowenischen Ministry of Public Administration müsste man auf Basis des Artikels 45 wieder aufnehmen, obwohl Mozilla diese CA 2019 wegen falsch ausgestellter Zertifikate zurückgewiesen hatte.

Was bleibt?

Der im Trilog abgestimmte Text liegt jetzt auf dem Tisch der Kommission, die die endgültige Fassung an Parlament und Rat zur Abstimmung weiterleitet. Eine Idee, mit der Mozilla sich anfreunden könnte, wäre die Aufspaltung von Identitätsprüfung und TLS-Verschlüsselung. Das Unternehmen hat das der ETSI vorgeschlagen, stieß aber nicht auf Ablehnung. D-Trust kritisiert, dass man dann zwei Zertifikate bräuchte, was die Angriffsfläche vergrößern würde.

Robin Wilton, Director Trust bei der Internet Society, wendet ein, dass eine Zwei-Zertifikatsstruktur bislang nicht getestet wurde. Er sieht aber auch keinen guten Grund, die Browser- und TLS-Infrastruktur um eine Eigentümeridentifizierung zu erweitern. "Warum will man die ID-Funktion nicht in die EU-ID-Brieftasche integrieren", fragt er. Und als EU-Bürger wüsste er gerne, warum die EU-Brieftasche optional bleibt, aber Browserhersteller verpflichtet werden, eine Technik mit Hintertürpotenzial einzubauen. "Meiner Ansicht nach müssen die Befürworter von eIDAS zeigen, was genau in der Verordnung eine böswillige oder autoritäre Regierung hindert, die Macht über das Stammzertifikat, die ihnen Artikel 45 einräumt, zu missbrauchen", so Wilton.

Stephen Farrell, Informatiker am Trinity College und langjähriger Co-Chair für Sicherheit bei der Internet Engineering Task Force appelliert an die Browserhersteller, den Kampf nicht verloren zu geben. "Ich hoffe, am Ende geben sie Nutzern die Möglichkeit, zwangsweise eingetragene Root-CA-Schlüssel zu entfernen, wenn sie aktuellen Sicherheitsstandards nicht entsprechen". Er werde seinen Browser entsprechend konfigurieren, aber so etwas sei für normale Nutzer keine Option. Zugleich hoffe er, "dass die Security Community den Betrieb der zusätzlichen CAs unter einem Mikroskop beobachten wird".

Im Grunde, so der Ire, der auch den offenen Brief unterschrieben hat, laute das aktuelle Motto: "Kämpfen! Ich glaube, am Ende wird diese schlechte Idee begraben. Aber wenn jetzt keine substantiellen Veränderungen vorgenommen werden, kann das eine Weile dauern und auch etwas kosten." Leider, so Farrell lasse der Artikel 45 und das wenig transparente Vorgehen drumherum die EU-Institutionen schlecht aussehen. "Das ist ein Jammer, denn sie haben sich in jüngster Zeit den Ruf als ziemlich gute Akteure erworben".

c't wird die Entwicklung des Themas weiter beobachten. Eine der kommenden c't-Ausgaben wird Hintergründe und Wege zum Umgang mit verdächtigen Zertifikaten beleuchten.

[Update]: 27.11.2023, 11:40: Redigierfehler beim Vorschlag von Mozilla an die ETSI korrigiert.

(dz)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten